8.16. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации

8.16.1. В организации БС РФ должен быть установлен перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ. В частности, в указанный перечень документов должны входить:

- отчеты с результатами мониторинга ИБ и контроля защитных мер;

- отчеты с результатами анализа функционирования СОИБ;

- отчеты с результатами аудитов ИБ;

- отчеты с результатами самооценок ИБ;

- документы, содержащие информацию о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ;

- документы, содержащие информацию о новых, выявленных уязвимостях и угрозах ИБ;

- документы, содержащие информацию о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществленных руководством;

- документы, содержащие информацию об изменениях, которые могли бы повлиять на организацию СОИБ, например, изменения в законодательстве РФ и (или) в положениях стандартов Банка России;

- документы, содержащие информацию по выявленным инцидентам ИБ;

- документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ, например выполнение планов обработки рисков;

- документы, подтверждающие выполнение требований непрерывности бизнеса и его восстановления после прерывания.

8.16.2. В организации БС РФ должен быть установлен план выполнения деятельности по контролю и анализу СОИБ. В частности, указанный план должен содержать положения по проведению совещаний на уровне руководства, на которых в том числе производится поиск и анализ проблем ИБ, влияющих на бизнес организации БС РФ.

8.16.3. В организации БС РФ должны быть определены роли, связанные с подготовкой информации, необходимой для анализа СОИБ руководством, и назначены ответственные за выполнение указанных ролей.